KVKK SIEM i Türkiye’de Gerçek Amacına Yaklaştıracak Mı?
Bir ay önce “TÜRKİYE BİR SIEM ÇÖPLÜĞÜ” [1] adı altında aslında Türkiye’de SIEM projesi yapılmadığını yazmıştım. Geçen 1 ay içerisinde de SIEM projesi yapan hiç kimse bizim yaptığımız öyle değildi, şöyle şöyle çıktılarımız oldu diye dönmedi bile diye eklemiştim.
Bu paylaşımıma gelen yorumlar “SIEM projeleri dostlar alışverişte görsün” kabilinden devreye almak ötesine geçemiyor şeklinde oldu ki ben de buna katılıyorum.
“Turkiye’deki pek çok SIEM ürününün satın alınmasında ki amaç güvenlik sağlanması değil ki, PCI-DSS, ISO-27000 ve Cobit gibi standartların denetiminden geçebilmek” şeklinde bizim görüşümüzü de destekleyen yorumlar da geldi.
Bu noktadan hareketle KVKK nın SIEM uygulamalarının gerçek amacına yani güvenlik sağlanmasına yaklaşmasında da önemli rol oynayacağı düşüncesindeyiz. Çünkü KVKK uyumluluğunda teknik tedbirlerin uygulanıp uygulanmadığı ile birlikte bu uygulanan tedbirlerin gerekli sonucu sağlayıp sağlamadığı da kontrol ediliyor. Yani ortamda bir SIEM olup olmadığına bakılıyor ama bu yeterli değil. SIEM var ama veri ihlali olmuşsa kurum yine buna kayıtsız kalmıyor ve veri ihlali bildirimi yapıyor [2]. Yani var mı var dan öteye geçip sonuca göre hareket ediyor. Sen
- Erişim loglarını toplamışsın
- Log kayıtlarını almışsın
demek ki sen SIEM işini çözmüşsün demiyor. Eğer verilere yetkisiz erişim oldu ise erişim loglarını toplaman ve log kayıtlarını alman yeterli olmuyor.
Ayrıca teknik tedbirler dokümanı iyi incelenirse SIEM e atıf sadece
- Erişim loglarını toplama
- Log kayıtlarını alma
ile sınırlı da değil [3]
Referanslar
